AirDrop y Quick Share: seis vulnerabilidades en los protocolos de transferencia de proximidad que exponen más de 5.000 millones de dispositivos a ataques desde 30 metros sin interacción del usuario
Eric Serrano Bustos
A finales de junio de 2026, investigadores de CISPA Helmholtz Center for Information Security, Arash Ale Ebrahim y Nils Ole Tippenhauer, publicaron los resultados de un estudio sistemático de los protocolos de transferencia de proximidad de Apple y Google. El trabajo, presentado en el taller WOOT 2026, identificó seis vulnerabilidades en AirDrop (Apple) y en Quick Share (Google y Samsung), que en conjunto exponen más de 5.000 millones de dispositivos con iOS, macOS, Android y Windows a ataques ejecutados desde la proximidad inalámbrica, sin que el usuario objetivo haga nada ni siquiera sepa que está siendo atacado. Los tres fallos de AirDrop permiten a un atacante no autenticado, con un portátil y a menos de 30 metros, tumbar de forma repetida y sin interrupciones el servicio de transferencia de Apple y todos los servicios de continuidad asociados: AirPlay, Handoff, Universal Clipboard, Continuity Camera y NameDrop. En Quick Share, los investigadores encontraron dos bypasses de autenticación en Android y un use-after-free en el cliente Windows con potencial de escalada más allá del crash. La divulgación fue responsable hacia Apple, Google y Samsung. Apple ya ha parcheado uno de los tres fallos de AirDrop. El resto sigue en proceso de corrección coordinada.
¿Qué se sabe de las seis vulnerabilidades en AirDrop y Quick Share?
Los hechos documentados por CISPA, Help Net Security, The Hacker News, Security Boulevard, Cybernews y Privacy Guides son los siguientes:
Investigación: Arash Ale Ebrahim y Nils Ole Tippenhauer del CISPA Helmholtz Center for Information Security realizaron ingeniería inversa completa de los protocolos de capa de aplicación de AirDrop y Quick Share, construyeron un fuzzer propio llamado AIRFUZZ para AirDrop, y completaron análisis manual dirigido sobre Quick Share en Android y Windows.
Alcance: Apple reporta más de 2.200 millones de dispositivos activos que ejecutan sharingd. Google reporta más de 3.000 millones de dispositivos Android activos con Quick Share como mecanismo de compartición por defecto en Samsung y disponible en todo Android. Total: más de 5.000 millones de dispositivos en macOS, iOS, Android y Windows.
V1 — Crash por ruta HTTP no reconocida en AirDrop (zero-click): el daemon sharingd usa un enrutador Swift que llama a fatalError cuando recibe una petición HTTP a una URI desconocida. Un atacante puede enviar una sola petición POST a una ruta no reconocida en el puerto de AirDrop y tumbar de forma inmediata sharingd, lo que paraliza AirDrop, AirPlay, Handoff, Universal Clipboard, Continuity Camera y NameDrop. El ataque es zero-click, no requiere ninguna acción del usuario, y puede repetirse indefinidamente.
V2 — Stack overflow por XML plist anidado en AirDrop (zero-click): el escáner XML de Foundation.framework analiza estructuras dict anidadas sin límite de profundidad. Una petición Discover de AirDrop con unos 180-200 niveles de anidamiento agota la pila y provoca un crash. El ataque afecta no solo a sharingd sino a Foundation.framework en sí, lo que amplía la superficie de ataque a macOS, iOS, watchOS, tvOS y visionOS.
V3 — Null-pointer dereference en HTTP/1.1 de Network.framework (AirDrop): una petición HTTP con framing malformado, como tamaños de chunk negativos o cabeceras Content-Length contradictorias, fuerza al parser HTTP a un estado inconsistente y provoca una desreferencia de puntero nulo, crasheando de nuevo el daemon y todos los servicios de continuidad asociados.
V4 y V5 — Bypass de autenticación UKEY2 en Quick Share Android (Samsung): la implementación de Quick Share en Android procesa algunos frames de aplicación antes de completar el handshake UKEY2, lo que permite a un atacante en proximidad interactuar con la máquina de estados del protocolo con contenido controlado antes de que se establezca la autenticación criptográfica. Además, ciertos frames de control son aceptados en texto plano después de UKEY2, cuando deberían estar protegidos por la capa de cifrado SecureMessage. Samsung transfirió ambas vulnerabilidades a Google, donde siguen bajo investigación.
V6 — Use-after-free en Quick Share para Windows (Google): una condición de carrera en la gestión del ciclo de vida de los endpoints de Quick Share para Windows provoca un use-after-free. Google reconoció la validez del fallo, pagó una recompensa por bug bounty, y tiene una corrección disponible. El CVE está pendiente de asignación. El bug es potencialmente explotable más allá del crash dependiendo de la disposición del heap y las mitigaciones del sistema.
Estado de parches: Apple ha parcheado V1 con un CVE asignado pero advisory privado por ahora. V2 y V3 siguen en corrección coordinada sin CVE público. Google tiene fix para V6 con CVE pendiente. V4 y V5 siguen bajo investigación en Google. Sin explotación activa confirmada.
Condición de explotación: para los fallos de AirDrop, el atacante necesita que el dispositivo objetivo tenga AirDrop configurado en modo "Todos" o "Todos durante 10 minutos". Para Quick Share, el dispositivo debe estar visible para dispositivos cercanos.
Por qué los entornos corporativos son el escenario más expuesto
Las vulnerabilidades de AirDrop y Quick Share son ataques de proximidad, no de red. El atacante no necesita comprometer el perímetro de la organización ni enviar un phishing: necesita estar físicamente cerca. Eso hace que los entornos corporativos sean especialmente vulnerables por tres razones:
Las oficinas, salas de reuniones y espacios de coworking concentran decenas de dispositivos Apple a menos de 30 metros. Un empleado con AirDrop en modo "Todos" trabajando en una reunión con clientes, en una conferencia del sector, en un aeropuerto de camino a un evento corporativo, o simplemente en una planta abierta de oficinas, entra en el radio de ataque de cualquier persona que esté en ese espacio. En entornos densamente poblados, un único atacante puede alcanzar simultáneamente a cientos de dispositivos.
Los servicios que se caen no son solo AirDrop. Cuando V1 tumba sharingd, no paraliza solo la transferencia de archivos: paraliza AirPlay (la presentación en la pantalla de la sala de reuniones), Handoff (la continuidad entre el Mac y el iPhone del mismo empleado), Universal Clipboard (el portapapeles compartido entre dispositivos Apple, que puede contener datos sensibles copiados segundos antes), Continuity Camera y NameDrop. Un ataque en mitad de una presentación o una negociación tiene un impacto operativo real, no solo técnico.
Muchos dispositivos corporativos tienen AirDrop en modo "Todos" sin que nadie lo haya configurado así deliberadamente. La configuración por defecto varía según la versión de iOS y la política MDM, pero en muchos entornos sin política de flota explícita sobre AirDrop, los empleados lo activan puntualmente para recibir archivos y nunca lo desactivan. La encuesta de exposición real del parque de dispositivos de una organización mediana puede arrojar resultados sorprendentes.
Cómo funcionan los ataques: de la petición malformada al crash en cadena
La cadena de ataque de la vulnerabilidad más sencilla, V1, documentada por CISPA y reproducida por Help Net Security, sigue estos pasos:
El atacante, con un portátil corriente y conectividad Wi-Fi, identifica dispositivos Apple con AirDrop activo en el entorno. AirDrop utiliza el protocolo AWDL de Apple para el descubrimiento de dispositivos cercanos. Los dispositivos con AirDrop en modo "Todos" son visibles y accesibles sin ningún tipo de autenticación previa.
El atacante envía una única petición HTTP POST al listener de AirDrop con una URI no reconocida y un cuerpo no vacío. No es necesario conocer nada sobre la víctima ni tener ninguna credencial. Una sola petición de unos pocos bytes es suficiente.
El enrutador Swift de sharingd llama a fatalError al recibir una ruta desconocida, lo que termina el proceso de forma abrupta. sharingd es el daemon que gestiona simultáneamente AirDrop, AirPlay, Handoff, Universal Clipboard, Continuity Camera y NameDrop.
Todos esos servicios quedan inoperativos de forma simultánea en el dispositivo objetivo. El usuario no ha hecho nada, no ha aceptado ninguna transferencia, ni siquiera ha visto ninguna notificación.
El atacante puede repetir la petición cada pocos segundos para mantener los servicios caídos de forma continua, impidiendo que sharingd se reinicie y que el usuario recupere el uso de AirDrop, AirPlay y el resto de servicios de continuidad mientras el atacante siga en el radio de alcance.
Lecciones clave y mitigación inmediata para empresas
Mitigación inmediata (disponible sin esperar a que lleguen los parches):
Establecer AirDrop en "Solo contactos" en toda la flota de dispositivos Apple corporativos. Los tres fallos de AirDrop (V1, V2, V3) solo son accesibles cuando el dispositivo está en modo "Todos" o "Todos durante 10 minutos". Cambiar a "Solo contactos" elimina la superficie de ataque para las tres vulnerabilidades sin perder la funcionalidad de transferencia entre compañeros de trabajo.
Para usuarios que necesiten recibir de cualquier persona: activar AirDrop en modo "Todos" solo durante la transferencia específica y desactivarlo inmediatamente después. No mantenerlo activo de forma permanente en entornos no controlados.
En Quick Share para Android: configurar la visibilidad en "Solo contactos" o desactivar Quick Share cuando no se esté usando activamente en entornos corporativos.
Para Quick Share en Windows: actualizar el cliente a la versión más reciente. Google tiene una corrección disponible para V6 (el use-after-free). No dejar Quick Share en modo visible permanente en entornos de trabajo compartidos.
Para responsables de IT y seguridad:
Establecer una política MDM explícita sobre el modo de visibilidad de AirDrop en todos los dispositivos Apple gestionados. Sin una política de flota que lo establezca de forma centralizada, la configuración queda en manos de cada empleado.
Auditar el estado actual de AirDrop en el parque de dispositivos gestionados. Herramientas como Jamf o Microsoft Intune permiten consultar y aplicar la configuración de AirDrop a escala.
Incluir AirDrop y Quick Share en la política de uso de dispositivos corporativos con instrucciones claras sobre cuándo activarlos y con qué configuración.
Aplicar los parches de Apple en cuanto estén disponibles. Apple ya tiene una corrección para V1 en proceso de distribución. Mantener iOS y macOS actualizados es la única solución completa a largo plazo.
La ciberseguridad como prioridad estratégica
Las vulnerabilidades de AirDrop y Quick Share son un recordatorio de que la superficie de ataque corporativa no se limita al perímetro de red ni a los endpoints en la oficina: incluye todos los dispositivos que los empleados llevan consigo. Un empleado con un iPhone con AirDrop en modo "Todos" en una conferencia del sector, en un cliente, en un aeropuerto o en una sala de espera puede ser objetivo de un ataque que no requiere phishing, credenciales robadas ni vulnerabilidades en el servidor. Requiere solo proximidad física. Para las organizaciones con flotas de dispositivos Apple y Android, la pregunta de hoy no es si los parches de CISPA están aplicados, sino si tienen una política de MDM que controla el modo de visibilidad de AirDrop en toda la flota y si sus empleados saben que AirDrop en modo "Todos" en un espacio público es una superficie de ataque activa.
Apolo Cybersecurity: revisión de la postura de seguridad de dispositivos móviles y políticas MDM
En Apolo Cybersecurity ayudamos a organizaciones a revisar y reforzar la seguridad de su parque de dispositivos móviles corporativos: auditoría del estado de configuración de AirDrop y Quick Share en la flota gestionada, diseño de políticas MDM para la gestión centralizada de la visibilidad de protocolos de proximidad, evaluación de la exposición de dispositivos Apple y Android en entornos de alto riesgo (conferencias, viajes, espacios de coworking), y actualización de las políticas de uso de dispositivos corporativos para incluir protocolos de transferencia por proximidad.
Si tu organización tiene una flota de dispositivos Apple gestionada y no tiene una política MDM explícita sobre el modo de visibilidad de AirDrop, la investigación del CISPA es la señal para establecerla antes de que llegue el siguiente parche.